Sécurité
1 oct. 2024
Les stratégies efficaces pour identifier les comptes frauduleux et protéger votre entreprise contre les bots et les escrocs.
Une ouverture de compte sur cinq en ligne est faux. Les entreprises des secteurs de la finance, du e-commerce, des voyages, des jeux ou des médias sociaux sont victimes de la massive création de faux comptes, alimentée par des bots et des fraudeurs.
Cela peut parfois s'élever à des montants massifs. Rien qu'en 2019, Facebook a supprimé plus de 2 milliards de faux comptes, et LinkedIn a bloqué ou supprimé 21,6 millions de faux comptes en seulement six mois. Sur des plateformes de e-commerce comme Amazon et Walmart, on estime que un tiers des avis sur les produits sont faux, beaucoup provenant de comptes frauduleux.
Pourquoi ces faux comptes existent-ils ? Et comment les entreprises peuvent-elles les détecter et empêcher leur création au départ ?
Comment fonctionne la création de faux comptes ?
Alors que les entreprises se concentrent sur la croissance des utilisateurs, elles tendent à alléger leur processus d'inscription, avec des formulaires simples ne nécessitant que le nom et l'email, et parfois un numéro de téléphone. Cela augmente leur taux de conversion, mais également leur probabilité d'attirer de faux comptes.
La fraude à l'inscription de compte se produit lorsque des fraudeurs exploitent les vulnérabilités d'un site Web ou d'un formulaire d'inscription d'application. C'est principalement alimenté par des bots, avec des scripts automatiques utilisant de fausses informations ou des informations volées pour se faire passer pour de véritables utilisateurs.
L'automatisation de la création de faux comptes a atteint un stade assez avancé, avec des bots incorporant des temps d'attente pour imiter le comportement humain et la commercialisation de « bots en tant que service » pouvant être embauchés pour créer des centaines de faux comptes pour vous.
La création de faux comptes peut également être le fait de l'homme, que ce soit quelqu'un essayant d'obtenir un deuxième essai gratuit ou des fermes de fraude, avec des travailleurs mal payés créant de faux comptes toute la journée.
Pourquoi quelqu'un créerait-il un faux compte ?
Il existe étonnamment de nombreuses façons de monétiser un faux compte (surtout si vous en avez des milliers). Voici juste quelques exemples :
Abus des essais gratuits et des abonnements : De nombreux services basés sur l'abonnement, comme les plateformes de streaming, les applications de fitness et les entreprises de jeux, offrent des essais gratuits pour attirer des utilisateurs. Les fraudeurs profitent de cela en créant ou revendant de faux comptes, leur permettant d'exploiter à plusieurs reprises ces offres.
Avis de produits faux : Un problème prévalent pour les marketplaces et les plateformes de e-commerce, les faux comptes sont souvent utilisés pour publier des avis positifs ou négatifs exagérés afin de manipuler les classements des produits. Une recherche rapide sur Google pour "acheter des avis de produits" révèle à quel point ce marché frauduleux est répandu et prospère.
Fraude au clic et à l'engagement : Les fraudeurs peuvent être payés pour générer de faux clics ou un faux engagement, que ce soit pour une entreprise cherchant à siphonner les budgets publicitaires de ses concurrents en cliquant sur toutes leurs annonces, ou pour un influenceur aspirant achetant des likes et des commentaires sur ses publications.
Blanchiment d'argent : Des plateformes de l'économie de concerts et des échanges de cryptomonnaies aux récompenses de jeux, les fraudeurs nécessitent un grand nombre de faux comptes pour blanchir de l'argent par le biais de divers canaux en ligne.
Vente de produits faux : Les faux comptes sur les plateformes de e-commerce peuvent être utilisés pour vendre des produits non existants, volés ou de mauvaise qualité (comme des produits dropshippés étiquetés comme faits à la main ou des livres générés par IA).
Phishing et arnaques : Jusqu'à 10 % des profils sur les applications de rencontre sont faux, principalement utilisés pour des tentatives de phishing. Ces faux profils visent à tromper les utilisateurs pour qu'ils partagent des informations personnelles ou tombent dans d'autres arnaques frauduleuses.
Certaines industries sont plus ciblées que d'autres, comme :
Banque et finance : pour faciliter le blanchiment d'argent, les transactions frauduleuses et le vol d'identité..
Médias sociaux et plateformes de rencontre : utilisées pour des escroqueries, du phishing et pour booster artificiellement l'engagement.
E-commerce : pour manipuler les avis, exploiter les promotions et vendre des biens contrefaits.
Éducation : pour accéder à des contenus en ligne ou des fraudes sur l'aide financière.
Jeux : pour tricher, récolter des récompenses et s'engager dans la fraude à la carte de crédit.
Nous pourrions lister de nombreuses autres façons dont ces comptes peuvent être monétisés, comme manipuler l'opinion publique sur les réseaux sociaux ou tricher dans des jeux en ligne. Et parfois, les gens créent de faux comptes juste pour le plaisir de troll les utilisateurs en ligne.
Quel est l'impact des faux comptes ?
Pertes financières
La création de faux comptes peut avoir un impact financier profond sur les entreprises, principalement par le biais de pertes directes. Les fraudeurs exploitent les essais gratuits et les offres promotionnelles en utilisant de faux comptes, entraînant des dépenses opérationnelles significatives pour des services qui n'atteignent jamais de véritables clients.
Mais les entreprises perdent également de l'argent sur des ressources comme la capacité des serveurs, la bande passante et le temps de personnel nécessaire pour supporter ces utilisateurs factices.
Analytique faussée
Les faux comptes compromettent également l'exactitude des principaux indicateurs commerciaux, cruciaux pour la prise de décision. Avec des chiffres d'utilisateurs gonflés, les entreprises sont souvent induites en erreur en croyant qu'elles croissent plus vite qu'elles ne le sont réellement. Cela peut inciter à une mise à l'échelle prématurée de l'infrastructure, ce qui conduit à des investissements inutiles dans des domaines comme la technologie et le personnel.
Au-delà de cela, les faux comptes peuvent déformer les données d'engagement en produisant des clics, des vues ou des interactions gonflés, rendant difficile l'évaluation de la manière dont les véritables clients interagissent avec l'entreprise.
Les analyses et les tests A/B, utilisés pour peaufiner l'expérience client et optimiser les stratégies marketing, deviennent également peu fiables lorsque les faux comptes faussent les résultats.
Budget marketing perdu
Les faux comptes peuvent être inclus dans les algorithmes de ciblage d'audience, ce qui signifie que les campagnes marketing sont dirigées vers des utilisateurs inexistants. Cela dilue l'efficacité des annonces et entraîne un mauvais retour sur investissement.
Dommages à la réputation
Si une plateforme est connue pour être envahie par de faux profils, les clients peuvent commencer à remettre en question la légitimité de son service ou de sa base d'utilisateurs. Personne ne veut discuter avec un bot ou un logiciel d'imitation.
Pour les entreprises de e-commerce, des faux comptes laissant de faux avis sur les produits peuvent saper la confiance dans le marché, érodant la confiance des consommateurs tant dans l'entreprise que dans ses vendeurs.
Coûts de support client
Le personnel de support doit faire face à un nombre accru de demandes liées à des activités frauduleuses, que ce soit pour traiter des plaintes sur des escroqueries, traiter des remboursements pour des transactions frauduleuses ou gérer des problèmes découlant de faux avis.
Le temps consacré à ces tâches détourne l'attention du soutien aux clients légitimes, ce qui non seulement exerce une pression sur les ressources, mais peut également diminuer la qualité du service pour les véritables utilisateurs. Avec le temps, cette charge de travail accrue peut contribuer à une diminution de la satisfaction globale des clients, endommageant encore la réputation de l'entreprise.
Comment repérer les faux comptes ?
Détecter les faux comptes est une affaire délicate, car il n'y a pas de solution unique. Il faut surveiller les modèles et comportements inhabituels qui distinguent les utilisateurs frauduleux des utilisateurs légitimes.
Vous pouvez généralement rechercher l'un de ces drapeaux rouges :
Modèles d'activité inhabituels : Les faux comptes montrent souvent un engagement irrégulier, comme un volume élevé d'actions en peu de temps, ce qui serait impossible manuellement.
Profils incomplets ou génériques : Des photos de profil, des noms d'utilisateur ou des adresses email génériques qui semblent automatisés ou aléatoires, comme "paul1234" (désolé si c'est vraiment votre nom d'utilisateur).
Anomalies d'adresse IP : Un grand nombre de comptes créés depuis la même adresse IP ou région dans un délai court (en particulier si vous n'opérez généralement pas dans cette région) peut être un drapeau rouge.
Augmentation des inscriptions : Les faux comptes sont souvent générés en masse. Donc avant de déboucher le champagne pour célébrer tous ces nouveaux utilisateurs, vérifiez à nouveau s'ils ressemblent à des utilisateurs légitimes.
Comment prévenir la création de faux comptes dès le départ ?
Repérer les faux comptes est très bien, mais savez-vous ce qui est encore mieux ? Les empêcher d'être créés dès le départ ! Voici quelques conseils pour vous aider à faire justement cela :
Implémenter un CAPTCHA
Le CAPTCHA peut être une première couche utile pour bloquer les bots lors du processus d'inscription, mais il n'est pas infaillible. Les bots sont de plus en plus capables de contourner les CAPTCHA en utilisant des techniques comme la reconnaissance optique de caractères (OCR) pour résoudre les défis automatiquement.
En fait, les services de résolution de CAPTCHA sont facilement disponibles en ligne à des coûts étonnamment bas, les rendant moins efficaces comme défense autonome. De plus, soyons honnêtes, je n'ai jamais rencontré un autre humain qui aime un champ CAPTCHA.
Champs de miel
Ce sont des champs de formulaire invisibles que les utilisateurs légitimes ne verront ni n'interagiront, mais que les bots le feront souvent. Lorsqu'un système automatisé remplit ces champs cachés, cela déclenche une alerte, vous permettant d'identifier et de bloquer le bot avant qu'il n'achève le processus d'inscription. Cette technique est sans faille pour les vrais utilisateurs et très efficace pour attraper les tentatives automatisées.
Limiter la création de comptes
Fixez une limite sur la fréquence à laquelle les utilisateurs peuvent créer des comptes depuis le même appareil, domaine email ou numéro de téléphone. Cela empêche les escrocs de produire en masse des comptes avec de légers ajustements aux données. Vous pourriez également restreindre le nombre de comptes pouvant être créés depuis une seule adresse IP dans un délai donné. Mais soyez prudent car cela pourrait entraîner de faux positifs selon votre entreprise.
Vérification par téléphone
La vérification par téléphone est probablement le moyen le plus simple de mettre en place une prévention des faux comptes, car elle peut être mise en œuvre avec une API SMS en moins d'un jour. Les utilisateurs n'ont généralement qu'un seul numéro de téléphone, les escrocs n'aiment pas révéler le leur et c'est un excellent moyen de prévenir aussi la création de multiples comptes.
La vérification par téléphone fonctionne en envoyant un mot de passe à usage unique (OTP) par SMS ou par un canal de messagerie en ligne comme WhatsApp. En utilisant une solution conçue pour limiter la fraude, telle que Prelude, vous garantissez d'avoir une base d'utilisateurs sécurisée et authentique.
Authentification Multi-Factorielle (MFA)
Pour aller un pas plus loin, vous pouvez introduire la MFA lors du processus de création de compte pour authentifier les utilisateurs par plusieurs étapes, comme un mot de passe et un code à usage unique envoyé à un appareil vérifié, rendant plus difficile la création de comptes par des bots.
Étude de cas : Comment Prelude a aidé Cubzh à prévenir les faux comptes sur sa plateforme de jeu
Cubzh est une plateforme de jeu qui allie la liberté créative de Minecraft à l'esprit communautaire de Roblox. Contrairement à ses concurrents, Cubzh donne la priorité à la qualité de sa base d'utilisateurs plutôt qu'à sa quantité.
Une caractéristique distincte de la plateforme est le Marketplace des Makers, où les utilisateurs peuvent gagner de la monnaie dans le jeu en créant des jeux réussis et être récompensés pour leurs contributions. Les joueurs peuvent également en gagner grâce à un engagement constant, avec des connexions quotidiennes et de nouvelles créations récompensées.
Cependant, Cubzh faisait face à des défis avec des tricheurs et des utilisateurs malveillants créant des faux comptes et des bots, menaçant son approche axée sur la communauté. Certains utilisateurs exploitaient le modèle freemium en créant plusieurs comptes pour maximiser leurs gains dans le jeu.
Gérer ces problèmes en interne a épuisé du temps et des ressources qui auraient pu être mieux dépensées à améliorer la plateforme. Pour y remédier, Cubzh a mis en œuvre les outils de vérification avancés de Prelude, qui sont devenus cruciaux dans leur lutte contre les faux comptes.
Maintenant, tous les nouveaux utilisateurs doivent vérifier leur identité en fournissant un numéro de téléphone (ou le numéro d'un parent pour les utilisateurs de moins de 13 ans). L'API de vérification SMS de Prelude assure que chaque compte est légitime, permettant à Cubzh de :
Protéger les jeunes joueurs et rassurer les parents
Maintenir une communauté authentique et de haute qualité
Prévenir l'abus du système freemium en empêchant les utilisateurs de créer plusieurs comptes
“L'API de Prelude est vraiment facile à utiliser, nous avons pu mettre en œuvre la solution en moins d'un jour. Depuis, nous avons constaté une réelle amélioration de la qualité de notre base d'utilisateurs et de notre taux de désabonnement”, Adrien Duermael, PDG de Cubzh

Comment prévenir la création de faux comptes avec la vérification par téléphone ?
Commencer est simple. Avec l'API de Prelude, vous pouvez être opérationnel en seulement trois étapes, toutes décrites dans notre guide de démarrage rapide. L'ensemble du processus peut être complété en moins d'un jour, ce qui le rend rapide et sans tracas.
Obtenez le SDK : Nous fournissons des SDK pour de nombreux langages populaires pour rendre votre vie plus facile, tels que Node, Go, Python, Ruby, Java, PHP ou C#.
Initialisez le SDK en collant le code disponible dans notre guide de démarrage rapide.
Envoyez et vérifiez un code : appelez le point de terminaison d'authentification avec votre numéro de téléphone pour recevoir un code par SMS et le vérifier.
Et c'est tout — vous avez réussi à mettre en œuvre la vérification SMS ! À partir de là, vous pouvez effectuer des tests pour vous assurer que l'intégration fonctionne bien, ajouter des signaux de fraude pour une protection améliorée et connecter votre webhook pour recevoir des notifications en temps réel lorsqu'un OTP est envoyé ou facturé.
Donc, si vous souhaitez atténuer les faux comptes sur votre plateforme, vous pouvez commencer gratuitement avec Prelude ou parler à notre équipe de vente !
Derniers Articles